Graylog regex提取消息中的第一个有效Mac地址

Question

我正在尝试从Graylog中的几个不同的消息条目中提取第一个有效的通用mac地址。我可以用不同的Grok提取器来做，但我想用Regex来做，这样我就可以在Mac上转换成所有的小写字母。下面是一些示例消息和可用的Grok模式。

问题是，我如何将这些Grok提取器转换为正则表达式，或者是否有一个正则表达式可以在所有4个示例中工作？基本上，正则表达式只需要匹配每个字符串中的第一个有效MAC地址并将其提取出来。

示例1: Equinox：*spamApTask1: Mar 20 15:26:04.033：#CAPWAP-3-ECHO_ERR: capwap_ac_sm.c:7019未收到心跳应答；AP: 00:3a:9a:48:9b:40

示例2: Equinox：*spamReceiveTask: Mar 17 12:34:39.264：#CAPWAP-3- DTLS _CONN_ERR: capwap_ac.c:934 00:3a:9a:30:f5:90:未找到DTLS连接forAP 192.168.99.74 (43456)，控制器: 192.168.99.2 (5246)发送数据包

Sample3: Equinox：*spamApTask1: Mar 22 08:35:14.562：#LWAPP-4- sig _INFO1: spam_lrad.c:44474签名信息；AP 00:14:1b:61:f8:40，报警打开，标准签名空探测响应1，跟踪每个Mac优先级2，命中1，插槽0，通道1，最有问题的MAC 00:00:00:00:00:00 :00#00:00:00:00:00:00#

示例4: Equinox：*idsTrackEventTask: Mar 22 08:40:13.816：#WPS-4- sig _ Alarm _OFF: sig_event.c:656 AP 00:14:1B:61:F8:40 :Alarm OFF，标准sig NULL探测分别为1，track=per-Mac preced=2 hits=1 slot=0 channel=1 yes，但必须将Mac设置为小写

Sample1 Grok pattern:%{GREEDYDATA}AP: {COMMONMAC:WLC_APBaseMac}
Sample2 Grok pattern:%{GREEDYDATA}capwap_ac.c:934 %{COMMONMAC:WLC_APBaseMac}
Sample3 Grok pattern:%{GREEDYDATA}AP %{COMMONMAC:WLC_APBaseMac}
Sample4 Grok pattern:%{GREEDYDATA}AP %{COMMONMAC:WLC_APBaseMac}

Answer 1

您可以创建一个模式，它匹配5组2个十六进制数字，然后是分号，然后是最后6组2个十六进制数字：

(?i)(?:[0-9a-f]{2}:){5}[0-9a-f]{2}

演示here。开头的(?i)使搜索不区分大小写。

已更新

如果上面的正则表达式在Graylog中不起作用，那么您可以尝试它的最基本的形式，其中所有的量词和字符集都被扩展：

[0-9a-fA-F][0-9a-fA-F]:[0-9a-fA-F][0-9a-fA-F]:[0-9a-fA-F][0-9a-fA-F]:[0-9a-fA-F][0-9a-fA-F]:[0-9a-fA-F][0-9a-fA-F]:[0-9a-fA-F][0-9a-fA-F]

演示here。